Croogo 跨站腳本漏洞

發布日期:2020-01-30 00:00:00
漏洞信息詳情
CNNVD編號:CNNVD-201901-970
CVE編號: CVE-2019-7173
發布時間: 2019-01-30
更新時間: 2019-04-01
危害等級: 中危
漏洞類型: 跨站腳本
威脅類型: 遠程
廠       商:Croogo
漏洞簡介

Croogo是一套基于CakePHP框架開發的內容管理系統(CMS)。該系統提供內容類型可自定義為Blog、Node、Page,內容采用WYSIWYG編輯器編輯等功能。

Croogo 3.0.5及之前版本中存在跨站腳本漏洞。遠程攻擊者可通過向/admin/file-manager/attachments/edit/4 URL發送‘Title’字段利用該漏洞執行HTML或JavaScript代碼。

建議

目前廠商暫未發布修復措施解決此安全問題,建議使用此軟件的用戶隨時關注廠商主頁或參考網址以獲取解決辦法:
http://croogo.org/

參考網址

來源:github.com
鏈接:https://github.com/croogo/croogo/issues/889